龐小龍

中通服咨詢?cè)O(shè)計(jì)研究院有限公司

0 引言

近幾年，隨著各院校招生人數(shù)的日益增多，教育規(guī)模的不斷擴(kuò)大，現(xiàn)有教學(xué)資源日益緊張，眾多學(xué)校啟動(dòng)了異地新校區(qū)的規(guī)劃建設(shè)。異地辦學(xué)對(duì)校園網(wǎng)絡(luò)的互聯(lián)互通提出了新的要求，如何保證跨地市校區(qū)間校園網(wǎng)絡(luò)的可靠互聯(lián)，同時(shí)保證各校區(qū)間網(wǎng)絡(luò)通信的安全性，成為校園網(wǎng)絡(luò)規(guī)劃的重難點(diǎn)之一。

1 校區(qū)間網(wǎng)絡(luò)互聯(lián)概述

目前，實(shí)現(xiàn)跨地市校區(qū)間的網(wǎng)絡(luò)互聯(lián)主要有兩類技術(shù)路線，分別是物理專網(wǎng)和虛擬專網(wǎng)。

所謂物理專網(wǎng)，就是高校在各校區(qū)間自行敷設(shè)光纜，進(jìn)行物理通信網(wǎng)絡(luò)的建設(shè)。這種網(wǎng)絡(luò)具有非常高的可靠性、安全性和穩(wěn)定性，但是工程量巨大、造價(jià)也非常高。為了節(jié)約投資，部分高校采用租用運(yùn)營(yíng)商基礎(chǔ)光纖資源的方式來組建物理層面的專有校園網(wǎng)絡(luò)。以南京航空航天大學(xué)為例，其通過租用運(yùn)營(yíng)商物理光纖建立了跨地市的OTN 光傳送校園網(wǎng)絡(luò)，校區(qū)間構(gòu)建了跨地市的物理專網(wǎng)，但是其建設(shè)投資依然巨大，不具有普遍適用性。

所謂虛擬專網(wǎng)，就是借助運(yùn)營(yíng)商提供的專線進(jìn)行網(wǎng)絡(luò)互聯(lián)。目前主流的專線技術(shù)主要包括IPsec VPN、MPLS VPN 以及SD-WAN 等?？紤]到IPsec VPN 并不能從互聯(lián)網(wǎng)服務(wù)提供者的視角對(duì)流量進(jìn)行智能調(diào)度，也不能優(yōu)先保證重要服務(wù)內(nèi)容，所以在全程公網(wǎng)傳送時(shí)不可避免地會(huì)發(fā)生延遲波動(dòng)以及丟包等問題，為此本文不再對(duì)IPsec VPN 進(jìn)行深入討論。

2 基于MPLS VPN 的多校區(qū)互聯(lián)方案

MPLS VPN 是一種高效且可靠的網(wǎng)絡(luò)傳輸技術(shù)。一般在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間的以太網(wǎng)交換機(jī)和路由器上運(yùn)行，在出口路由設(shè)備上移除標(biāo)簽，同時(shí)將原始IP 數(shù)據(jù)包轉(zhuǎn)發(fā)至目的地址。由于此種模式無需查看IP 報(bào)頭即可傳輸數(shù)據(jù)，有效提高了網(wǎng)絡(luò)的傳輸性能。

考慮到跨地市校區(qū)一般位于運(yùn)營(yíng)商MPLS 網(wǎng)絡(luò)不同的AS域，此種情形下連接VPN 的運(yùn)營(yíng)商PE 路由器已經(jīng)無法直接建立IBGP 鄰居關(guān)系，或者與RR 建立鄰居關(guān)系，為此需要擴(kuò)展MPLS VPN 體系框架，采用跨域MPLS BGP VPS 技術(shù)實(shí)現(xiàn)跨AS 發(fā)布路由前綴和標(biāo)簽信息。

（1）方案一

此種方案是在隸屬于不同AS 域的ASBR 之間通過專用的接口管理不同的VPN 路由。此方案中，不同AS 域的邊界路由器ASBR 直連，ASBR 之間無需運(yùn)行MPLS 協(xié)議以及跨域特殊配置。每個(gè)ASBR 作為本自治域的PE 設(shè)備，把對(duì)端ASBR視為己方的CE 設(shè)備，通過EBGP 方式向?qū)Χ送ǜ媛酚尚畔ⅰ?/p>

如圖1 所示，兩臺(tái)ASBR 之間接口互聯(lián)，每個(gè)接口映射一個(gè)VPN，每個(gè)ASBR 都把對(duì)端域當(dāng)成CE。相互連接的ASBR 設(shè)備接口綁定VRF，并通過EBGP 鄰居關(guān)系把VPN 路由轉(zhuǎn)變成普通的IP 路由，由一個(gè)自治域傳遞到另一個(gè)自治域，ASBR 之間不需要啟用MPLS 協(xié)議。

圖1 方案一多校區(qū)網(wǎng)絡(luò)對(duì)接拓?fù)鋱D

本方案由于不同AS 域之間無需運(yùn)行MPLS 協(xié)議，所以配置相對(duì)簡(jiǎn)單，但是由于ASBR 設(shè)備需要管理所有跨域VPN 路由且為之配置相應(yīng)的接口，所以對(duì)設(shè)備硬件性能要求較高。此外，因業(yè)務(wù)而跨多域時(shí)，需要每個(gè)自治域均支持VPN 業(yè)務(wù)，從而增加了網(wǎng)絡(luò)配置的工作量。

（2）方案二

此方案與方案一思路類似，主要區(qū)別在于ASBR 之間通過MP-EBGP 交換其所在AS 域接收的標(biāo)簽VPN-IP 路由。ASBR 接收域內(nèi)外的跨域VPN-IP 路由并通告出去。由于PE設(shè)備上只保留與本地VPN實(shí)例的Target保持匹配的VPN路由，所以在ASBR 上無需進(jìn)行RT 過濾及創(chuàng)建VPN 實(shí)例，也無需綁定相應(yīng)的接口。

如圖2 所示，PE 通過MP-IBGP 將VPN 路由通告給域內(nèi)的ASBR 或VPN RR（圖中未體現(xiàn)），ASBR 再通過MPEBGP 將VPN 路由通告給對(duì)方域的ASBR，再由對(duì)方域內(nèi)的ASBR 將VPN 路由通告給己方域內(nèi)的PE。

圖2 方案二多校區(qū)網(wǎng)絡(luò)對(duì)接拓?fù)鋱D

此方案優(yōu)勢(shì)在于不再對(duì)ASBR 之間鏈路數(shù)目有所限制，但是由于ASBR 依然要保存和傳遞AS 之間的VPN 路由信息，所以當(dāng)VPN 路由較多時(shí)，ASBR 同樣容易成為故障點(diǎn)。

（3）方案三

上文提到的兩種跨域MPLS VPN 方案中，VPN 路由的維護(hù)和發(fā)布均依托于ASBR 設(shè)備。當(dāng)有大量的跨域VPN 路由需要通過ASBR 進(jìn)行通告時(shí)，就有可能造成網(wǎng)絡(luò)擁塞。為了解決ASBR 的瓶頸問題，業(yè)界提出了多跳MP-EBGP 的方案。該方案的主要思路是通過建立多跳的MP-EBGP 會(huì)話，在不同自治域的PE 之間直接交互VPN 路由，從而解決需要ASBR 維護(hù)和分發(fā)VPN 路由而造成的性能瓶頸。

如圖3 所示，ASBR 不再維護(hù)VPN 路由，僅維護(hù)前往PE的帶標(biāo)簽路由，并且通過EBGP 通告給對(duì)端的AS 域，在跨域的PE 之間建立了一條LSP，從而實(shí)現(xiàn)跨域PE 之間通過多跳MP-EBGP 連接并進(jìn)行VPN 路由通告。當(dāng)AS 內(nèi)有RR 時(shí)（圖上未體現(xiàn)），PE 與本AS 內(nèi)的RR 建立VPN 鄰居關(guān)系，同時(shí)本端RR 與對(duì)端RR 建立VPN 鄰居關(guān)系，從而實(shí)現(xiàn)跨域VPN路由傳遞，此處不再贅述。

圖3 方案三多校區(qū)網(wǎng)絡(luò)對(duì)接拓?fù)鋱D

（4）方案四

方案四與方案三基本一致。最主要的區(qū)別是：在AS 內(nèi)，方案三需要VPN LSP、BGP LSP、Tunnel LSP 三層標(biāo)簽，而在方案四中，僅需兩層標(biāo)簽即可。

如圖4 所示，此方案中ASBR 同樣不用維護(hù)VPN 路由，僅需要維護(hù)去往PE 的帶標(biāo)簽路由，同時(shí)通過EBGP 通告給對(duì)端的ASBR。對(duì)端ASBR 收到帶有BGP 標(biāo)簽的路由后，會(huì)在該域內(nèi)通過MPLS LDP 為該BGP 標(biāo)簽路由生成相應(yīng)的標(biāo)簽，并在域內(nèi)LDP 鄰居間傳遞，從而在域內(nèi)PE 上可以看到對(duì)端PE 的LDP LSP。至此，在跨域PE 之間建立了VPN 路由。當(dāng)AS 內(nèi)有RR 時(shí)（圖上未體現(xiàn)），PE 與本AS 內(nèi)的RR 建立VPN 鄰居關(guān)系，同時(shí)本端RR 與對(duì)端RR 建立VPN 鄰居關(guān)系，從而實(shí)現(xiàn)跨域VPN 路由傳遞，與方案三帶RR 的情形類似，不再贅述。

圖4 方案四多校區(qū)網(wǎng)絡(luò)對(duì)接拓?fù)鋱D

方案三和方案四較好地緩解了方案一和方案二中ASBR的壓力，VPN 路由在跨域PE 之間直接交換，不再過多依賴ASBR 的網(wǎng)絡(luò)性能。不過，由于需要維護(hù)端到端的PE 連接，網(wǎng)絡(luò)管理成本相對(duì)較大，這也是方案三與方案四的主要缺點(diǎn)。

3 基于SD-WAN 技術(shù)的多校區(qū)互聯(lián)方案

SD-WAN 技術(shù)的主要理念是通過SDN 技術(shù)實(shí)現(xiàn)對(duì)廣域網(wǎng)絡(luò)的智能化管理，在Overlay 層面利用軟件的方式對(duì)Underlay層的網(wǎng)絡(luò)進(jìn)行抽象，從而提供優(yōu)質(zhì)的虛擬專網(wǎng)服務(wù)?；谶\(yùn)營(yíng)商的SD-WAN 技術(shù)實(shí)現(xiàn)，只需要客戶具備互聯(lián)網(wǎng)或4G/5G 無線網(wǎng)絡(luò)，通過部署終端盒子就能以較低的成本快速構(gòu)建一張與公眾互聯(lián)網(wǎng)相隔離的專網(wǎng)（效果與MPLS VPN 類似），并提供三層組網(wǎng)的服務(wù)能力。

一個(gè)完整的SD-WAN 網(wǎng)絡(luò)架構(gòu)主要由以下幾部分構(gòu)成：

（1）智能網(wǎng)關(guān)CPE：CPE 作為SD-WAN 網(wǎng)絡(luò)部署在客戶側(cè)的重要網(wǎng)絡(luò)設(shè)備，主要負(fù)責(zé)與POP 點(diǎn)通過網(wǎng)絡(luò)組建加密通道，將客戶側(cè)需要通過SD-WAN 網(wǎng)絡(luò)傳輸組網(wǎng)的流量通過加密通道傳輸至POP 點(diǎn)及SD-WAN 主干網(wǎng)中，并傳輸?shù)絊DWAN 網(wǎng)絡(luò)對(duì)端CPE。

（2）網(wǎng)絡(luò)接入點(diǎn)POP：在SD-WAN 網(wǎng)絡(luò)中，POP 點(diǎn)作為SD-WAN 組網(wǎng)的重要網(wǎng)絡(luò)節(jié)點(diǎn)，承擔(dān)著與智能網(wǎng)關(guān)之間通信，與其他跨域POP 點(diǎn)之間的SD-WAN 主干網(wǎng)通信等重要功能。

（3）SD-WAN 主干網(wǎng)：運(yùn)營(yíng)商自建的POP 節(jié)點(diǎn)間的骨干網(wǎng)絡(luò)。以中國(guó)電信為例，基于中國(guó)電信的China Net 網(wǎng)絡(luò)及CN2-DCI 網(wǎng)絡(luò)構(gòu)成，用戶的SD-WAN 網(wǎng)絡(luò)流量在主干網(wǎng)中通過VXLAN 技術(shù)進(jìn)行邏輯隔離。

（4）SDN 控制器：對(duì)POP 點(diǎn)進(jìn)行管理，負(fù)責(zé)虛擬鏈路的創(chuàng)建開通、釋放、流量調(diào)度等。

采用SD-WAN 技術(shù)的跨地市校區(qū)間互聯(lián)互通組網(wǎng)拓?fù)淙鐖D5 所示：

圖5 SD-WAN 架構(gòu)下的多校區(qū)網(wǎng)絡(luò)對(duì)接拓?fù)鋱D

在該組網(wǎng)架構(gòu)下，主校區(qū)、分校區(qū)需要分別部署SDWAN CPE 硬件設(shè)備，也可在各校區(qū)部署軟件客戶端（需要各節(jié)點(diǎn)自行提供獨(dú)立服務(wù)器或虛機(jī)承載軟件客戶端）。CPE 支持串接路由、串接網(wǎng)橋、旁路路由等多種部署方式，同時(shí)支持HA 部署，保障設(shè)備高可用。CPE 設(shè)備可通過互聯(lián)網(wǎng)、專線、4G、5G 等多種鏈路接入，也支持Wi-Fi 接入。各CPE 上線后自動(dòng)與SD-WAN 主干網(wǎng)上最近的POP 點(diǎn)加密連接，POP 點(diǎn)間建立端到端的虛擬隧道，將需要互訪的流量引入隧道進(jìn)行加密傳輸。此外，網(wǎng)絡(luò)運(yùn)維人員可以通過SD-WAN 可視化平臺(tái)清晰查看各個(gè)節(jié)點(diǎn)的組網(wǎng)狀態(tài)，降低運(yùn)維人員壓力。

4 方案比選

MPLS VPN 采用了2.5 層的標(biāo)簽方式保障了數(shù)據(jù)包的可靠傳輸及重要業(yè)務(wù)的數(shù)據(jù)流量。此外，MPLS VPN 無需配置額外的硬件設(shè)備，用戶只需要把己方CE 設(shè)備連接到運(yùn)營(yíng)商提供SD-WAN 服務(wù)的網(wǎng)絡(luò)邊緣設(shè)備上即可。

MPLS VPN 的缺點(diǎn)也是明顯的。首先，其使用成本相對(duì)較高，這是制約其市場(chǎng)競(jìng)爭(zhēng)力的主要因素之一。其次，MPLS VPN 開通涉及大量的手動(dòng)配置，且運(yùn)營(yíng)商內(nèi)部也要走相應(yīng)的開通流程，網(wǎng)絡(luò)業(yè)務(wù)的開通周期較長(zhǎng)，不利于校園業(yè)務(wù)的快速上線。最后，用戶自主配置的靈活性不高，業(yè)務(wù)維護(hù)管理不便。這些缺點(diǎn)導(dǎo)致了該技術(shù)無法大面積推廣。

與MPLS VPN 相比，SD-WAN 的配置相對(duì)簡(jiǎn)單，CPE 設(shè)備接電后可自動(dòng)或者通過郵件、掃碼等便捷方式獲得相應(yīng)配置后快速部署并開通業(yè)務(wù)。SD-WAN 組網(wǎng)在用戶側(cè)通常采用互聯(lián)網(wǎng)寬帶接入，其鏈路費(fèi)用通常比物理專線或?qū)＞W(wǎng)產(chǎn)品便宜。另外，由于SD-WAN 是一種Overlay 層面的網(wǎng)絡(luò)技術(shù)，其能夠根據(jù)實(shí)時(shí)網(wǎng)絡(luò)條件智能尋徑，并且在應(yīng)用層提供可視化的監(jiān)控與管理。

MPLS VPN 與SD-WAN 的各個(gè)維度比較如表1 所示：

表1 MPLS VPN 與SD-WAN 方案對(duì)比

5 結(jié)束語

基于SD-WAN 技術(shù)的跨地市校區(qū)間網(wǎng)絡(luò)互聯(lián)，可幫助學(xué)校節(jié)省昂貴的MPLS VPN 帶寬費(fèi)用。另外，SD-WAN 技術(shù)的自動(dòng)化功能以及可視化的集中監(jiān)控，降低了跨地市校園網(wǎng)絡(luò)部署和管理的復(fù)雜性。但是，SD-WAN 并不能完全取代MPLS VPN。對(duì)于某些關(guān)鍵的業(yè)務(wù)流量，MPLS VPN 仍是較優(yōu)的選擇。因此，混合WAN 架構(gòu)（SD-WAN 和MPLS VPN 協(xié)同工作）應(yīng)當(dāng)是跨地市校園網(wǎng)建設(shè)值得推薦的選擇。